Principais conclusões
- Exploits são ataques que exploram vulnerabilidades de software em sistemas operacionais e aplicativos comuns (como navegadores e ferramentas de escritório) para obter acesso não autorizado ou executar ações maliciosas sem exigir que os usuários instalem malware.
- Os ataques de exploração geralmente ocorrem de forma silenciosa, normalmente por meio de sites maliciosos, downloads automáticos ou links de e-mail, e podem não envolver arquivos de malware tradicionais.
- As explorações de dia zero são especialmente perigosas porque visam vulnerabilidades desconhecidas ou não corrigidas, permitindo que os invasores ataquem antes que as correções de software estejam disponíveis.
- As soluções antivírus tradicionais têm eficácia limitada contra exploits, pois geralmente se concentram na detecção de cargas maliciosas conhecidas, em vez das próprias técnicas de exploit.
O que você precisa saber sobre exploits de computador
Explorações de computador. O que são e por que você deve se preocupar?
Você já notou como os desenvolvedores de software estão sempre corrigindo e atualizando seus softwares, às vezes lançando atualizações apenas alguns dias após o lançamento inicial do software?
Isso porque todos os softwares que você possui e que possuirá em sua vida terão vulnerabilidades que os criminosos cibernéticos podem encontrar e aproveitar - em outras palavras, "explorar". Não existe software livre de explorações - sempre haverá brechas. O software de computador é tão sólido quanto um bloco de queijo suíço.
Por meio de exploits, os cibercriminosos podem obter acesso ao seu computador e roubar informações confidenciais ou instalar malware. Apesar da desaceleração na atividade de exploits, os cibercriminosos continuam recorrendo a esse método furtivo de ataque. Com isso em mente, agora é o momento perfeito para nos informarmos sobre o tema dos exploits e nos protegermos adequadamente. Então, role a página para baixo, continue lendo e aprenda tudo o que você precisa saber sobre exploits de computador.
O que é um exploit? Definição de exploit
Uma exploração de computador é um tipo de malware que se aproveita de bugs ou vulnerabilidades, que os criminosos cibernéticos usam para obter acesso ilícito a um sistema. Essas vulnerabilidades estão ocultas no código do sistema operacional e de seus aplicativos, esperando para serem descobertas e utilizadas pelos criminosos cibernéticos. Os softwares comumente explorados incluem o próprio sistema operacional, navegadores, Microsoft Office e aplicativos de terceiros. Às vezes, as explorações são agrupadas por grupos de criminosos cibernéticos no que é chamado de kit de exploração. Os kits de exploração facilitam o uso de explorações e a disseminação de malware por criminosos com conhecimento técnico limitado.
Para entender melhor o que são exploits, pode ser útil pensar nas caras travas de cilindro para bicicletas e laptops populares no início dos anos 2000. As pessoas pagavam mais de US$ 50 por esses cadeados, achando que eles mantinham seus objetos de valor seguros, até que alguém publicou um vídeo on-line demonstrando como esses cadeados podiam ser violados em questão de segundos usando uma caneta Bic barata e facilmente disponível.
Isso forçou os fabricantes de fechaduras a atualizarem suas fechaduras e os consumidores tiveram que fazer o upgrade para as novas fechaduras à prova de arrombamento. Essa é uma exploração tangível de um sistema de segurança física. No que se refere ao software, os criminosos cibernéticos estão procurando truques inteligentes, assim como o cara da caneta Bic, que lhes permitam acessar os computadores, os dispositivos móveis e as redes de outras pessoas.
Os ataques de exploit geralmente começam com malspam e downloads drive-by. Os criminosos cibernéticos enganam as vítimas desavisadas para que abram um anexo de e-mail infectado ou cliquem em links que redirecionam para um site mal-intencionado. Os anexos infectados, geralmente um documento do Word ou PDF, conterão códigos de exploração projetados para aproveitar os pontos fracos dos aplicativos.
Os downloads automáticos aproveitam as vulnerabilidades do seu navegador, como o Internet Explorer ou o Firefox, por exemplo, ou os plug-ins executados no navegador, como o Flash. Você pode visitar um site que já visitou com segurança no passado, mas dessa vez o site foi hackeado e você nem mesmo saberá disso. Como alternativa, você pode clicar em um link mal-intencionado em um e-mail de spam que o leve a uma versão falsificada de um site conhecido.
E, em casos particularmente complicados, você pode visitar um site legítimo que exibe um anúncio ou pop-up infectado com malware, também conhecido como malvertising. Ao visitar o site, o código malicioso na página da Web funcionará de forma invisível em segundo plano para carregar o malware em seu computador.
Os criminosos cibernéticos usam exploits como um meio para atingir algum fim malicioso, que varia de um problema incômodo a um incômodo incapacitante. Os criminosos cibernéticos podem tentar colocar os recursos do seu computador para trabalhar em um botnet zumbi para fins de um ataque DDoS ou para minerar Bitcoin(cryptojacking).
Como alternativa, os criminosos cibernéticos podem tentar instalar adware e inundar sua área de trabalho com anúncios. Os criminosos cibernéticos podem querer entrar em seu sistema e roubar dados imediatamente ou instalar malware para coletar secretamente seus dados ao longo do tempo(spyware). Por fim, os criminosos cibernéticos podem instalar malware que criptografa todos os seus arquivos e exigir pagamento em troca da chave de criptografia(ransomware).
O que é uma exploração de dia zero?
Dia zero! O único dia do ano em que fazemos uma pausa para reconhecer o humilde zero. Se isso fosse verdade. Na verdade, uma exploração de dia zero, também conhecida como exploração de hora zero, é uma vulnerabilidade de software que ninguém, exceto o criminoso cibernético que a criou, conhece e para a qual não há correção disponível. Quando uma exploração se torna de conhecimento público, ela deixa de ser um dia zero. Às vezes, uma exploração conhecida é chamada de exploração de dia n, indicando que um ou mais dias se passaram desde que a exploração foi divulgada.
Quando uma exploração de dia zero se torna informação pública, os fabricantes de software estão em uma corrida contra os criminosos para corrigir a exploração antes que os criminosos possam tirar proveito e colher os benefícios. Felizmente, os pesquisadores têm escrúpulos. Se os pesquisadores encontrarem uma exploração antes dos criminosos, eles geralmente informarão a falha ao fabricante e darão a ele a chance de corrigi-la antes de informar o público (e os criminosos) em geral.
A busca proativa por exploits tornou-se um esporte para alguns hackers. Na competição anual Pwn2own, os especialistas em exploits ganham dinheiro e prêmios por invadir com sucesso softwares populares em várias categorias, incluindo navegadores da Web e aplicativos corporativos. Como uma demonstração de seu interesse em segurança de software, a Microsoft e a VMware patrocinaram o evento Pwn2own em 2018.
Com relação à proatividade dos fabricantes de software em encontrar e corrigir explorações, David Sanchez, engenheiro de pesquisa principal Malwarebytes , disse: "É verdade que a Microsoft e outros fabricantes de software estão trabalhando arduamente para proteger seus aplicativos, como o Office, e explorá-los tornou-se difícil - quase impossível. Os especialistas em segurança e os criminosos cibernéticos ainda encontram uma maneira de explorá-los com sucesso. 100% de segurança é apenas uma ilusão, mas os aplicativos Malwarebytes protegem as pessoas o mais próximo possível desses 100%."
História dos exploits de computador
As explorações são tão antigas quanto a computação. Como já dissemos, todos os softwares têm vulnerabilidades e, ao longo dos anos, ocorreram algumas verdadeiras besteiras. Aqui está um resumo rápido de algumas das explorações de computador mais notáveis.
Nossa exploração dos maiores (ou seja, piores) exploits do mundo começa em 1988 com o worm Morris, um dos primeiros worms e exploits de computador. Batizado com o nome de seu criador, Robert Tappan Morris, o worm homônimo foi projetado para descobrir o tamanho da Internet naqueles primeiros anos de formação, usando várias vulnerabilidades para acessar contas e determinar o número de computadores conectados a uma rede.
O worm ficou fora de controle, infectando computadores várias vezes, executando várias cópias do worm simultaneamente até que não houvesse mais recursos para usuários legítimos. O worm Morris havia se tornado efetivamente um ataque DDOS.
O worm SQL Slammer tomou o mundo de assalto em 2003, alistando cerca de 250.000 servidores que executavam o software SQL Server da Microsoft em seu botnet. Depois que um servidor era infectado, ele usava um estilo de ataque disperso, gerando endereços IP aleatórios e enviando códigos infectados para esses endereços. Se o servidor visado tivesse o SQL Server instalado, ele também seria infectado e adicionado à botnet. Como resultado do SQL Slammer, 13.000 caixas eletrônicos do Bank of America ficaram off-line.
O worm Conficker de 2008 é notável por alguns motivos. Em primeiro lugar, ele reuniu muitos computadores em sua rede de bots, supostamente 11 milhões de dispositivos em seu auge. Em segundo lugar, o Conficker popularizou um tipo de subterfúgio que os vírus usam para evitar a detecção, chamado Domain Generating Algorithm (DGA). Em resumo, a técnica DGA permite que um pouco de malware se comunique infinitamente com seu servidor de comando e controle (C&C) gerando novos domínios e endereços IP.
Criado para atacar o programa nuclear do Irã, o worm Stuxnet de 2010 aproveitou-se de várias vulnerabilidades de dia zero no Windows para obter acesso a um sistema. A partir daí, o worm foi capaz de se autorreplicar e se espalhar de um sistema para outro.
Descoberto em 2014, o exploit Heartbleed foi usado para atacar o sistema de criptografia que permite que computadores e servidores conversem entre si de forma privada. Em outras palavras, os criminosos cibernéticos poderiam usar a exploração para espionar sua conversa digital. O sistema de criptografia, chamado OPEN SSL, foi usado em 17,5% ou meio milhão de servidores da Web "seguros". São muitos dados vulneráveis.
Como esse é um problema dos sites que você visita (lado do servidor), e não um problema do seu computador (lado do cliente), cabe aos administradores de rede corrigir essa exploração. A maioria dos sites de boa reputação corrigiu essa exploração há alguns anos, mas nem todos, portanto, ainda é preciso estar ciente desse problema.
2017 foi um ano marcante para o ransomware. Os ataques de ransomware WannaCry e NotPetya aproveitaram as explorações EternalBlue/DoublePulsar Windows para entrar sorrateiramente nos computadores e manter os dados como reféns. Combinados, esses dois ataques causaram danos de US$ 18 bilhões em todo o mundo. O ataque NotPetya, em particular, paralisou temporariamente - entre muitos outros - uma fábrica de chocolate Cadbury e o fabricante de preservativos Durex. Os hedonistas de todo o mundo prenderam a respiração coletiva até que o exploit fosse corrigido.
O ataque da Equifax em 2017 poderia ter sido evitado se a agência de crédito tivesse se esforçado mais para manter seu software atualizado. Nesse caso, a falha de software que os criminosos cibernéticos usaram para invadir a rede de dados da Equifax já era bem conhecida e havia uma correção disponível. Em vez de corrigir a situação, a Equifax e seu software desatualizado permitiram que os criminosos cibernéticos roubassem informações pessoais de centenas de milhões de clientes dos EUA. "Obrigado."
Agora, antes que os usuários da Apple comecem a pensar que os Macs não são suscetíveis a ataques baseados em exploits, considere o bug de root de 2017 que permitia que os criminosos cibernéticos simplesmente digitassem a palavra "root" no campo de nome de usuário e pressionassem return duas vezes para obter acesso total ao computador. Esse bug foi rapidamente corrigido antes que os criminosos cibernéticos pudessem tirar proveito dele, mas isso só mostra que qualquer software pode ter bugs exploráveis. A propósito, informamos que as exploraçõesMac estão aumentando. Até o final de 2017, havia 270% mais ameaças exclusivas na plataforma Mac do que em 2016.
Ultimamente, tem havido poucas novidades no mundo das explorações de navegador. Por outro lado, os kits de exploração do Office estão em alta. Desde 2017, notamos um aumento no uso de kits de exploração baseados no Office. Foi no outono daquele ano que relatamos pela primeira vez várias explorações inovadoras do Word, incluindo uma oculta em avisos falsos do IRS e outro ataque de dia zero oculto em documentos do Word, exigindo pouca ou nenhuma interação da vítima para ser iniciado.
Agora estamos vendo um novo tipo de kit de exploração do Office que não depende de macros, ou seja, código especial incorporado ao documento, para fazer seu trabalho sujo. Em vez disso, esse kit de exploração usa o documento como um chamariz, acionando um download automático que implementa a exploração.
Mais recentemente, os criminosos cibernéticos estão implantando malware sem arquivo, assim chamado porque esse tipo de malware não depende do código instalado no computador de destino para funcionar. Em vez disso, o malware sem arquivo explora os aplicativos já instalados no computador, armando efetivamente o computador contra si mesmo e contra outros computadores.
Exploits em dispositivos móveis: Android e iOS
A maior preocupação dos usuários de dispositivos móveis é instalar aplicativos que não tenham sido aprovados pelo Google e pela Apple. O download de aplicativos fora da Google Play Store e da Apple App Store significa que os aplicativos não foram aprovados pelas respectivas empresas. Esses aplicativos não confiáveis podem tentar explorar vulnerabilidades no Android para obter acesso ao seu dispositivo móvel, roubar informações confidenciais e executar outras ações mal-intencionadas.
Como posso me proteger de explorações?
As explorações podem ser assustadoras. Isso significa que devemos jogar nossos roteadores pela janela e fingir que estamos na Idade das Trevas dos computadores pré-internet? Certamente que não. Aqui estão algumas dicas se você quiser ser proativo em relação à proteção contra exploits.
- Mantenha-se atualizado. Você atualiza regularmente seu sistema operacional e todos os vários aplicativos que tem instalados? Se a resposta for não, você pode ser uma vítima em potencial para os criminosos cibernéticos. Depois que uma exploração de dia zero se torna conhecida pelo fornecedor do software e uma correção é lançada, o ônus de corrigir e atualizar o software recai sobre o usuário individual. Na verdade, as explorações de dia zero tornam-se mais perigosas e difundidas depois que se tornam de conhecimento público, porque um grupo mais amplo de agentes de ameaças está tirando proveito da exploração. Verifique com seus fornecedores de software se há atualizações ou correções disponíveis. Se possível, acesse as configurações do software e ative as atualizações automáticas para que essas atualizações ocorram automaticamente em segundo plano, sem nenhum esforço extra de sua parte. Isso eliminará o tempo de atraso entre o momento em que uma vulnerabilidade é anunciada e o momento em que ela é corrigida. Os criminosos cibernéticos se aproveitam das pessoas que se esquecem ou simplesmente não sabem que devem atualizar e corrigir seus softwares.
- Atualize seu software. Em alguns casos, um aplicativo de software se torna tão antigo e pesado que o fabricante do software deixa de oferecer suporte a ele(abandonware), o que significa que os bugs adicionais que forem descobertos não serão corrigidos. Seguindo de perto o conselho anterior, verifique se o fabricante ainda oferece suporte ao seu software. Se não for, atualize para a versão mais recente ou mude para outra que faça a mesma coisa.
- Fique seguro on-line. Certifique-se de que o Microsoft SmartScreen ou o Google Safe Browsing estejam ativados no navegador de sua preferência. Seu navegador verificará todos os sites que você visitar em relação às listas negras mantidas pela Microsoft e pelo Google e o afastará de sites conhecidos por fornecerem malware. Ferramentas antimalware eficazes, como o Malwarebytespor exemplo, também bloquearão sites ruins, oferecendo a você várias camadas de proteção.
- Use-o ou perca-o. Hackers vão hackear. Não há muito que possamos fazer com relação a isso. Mas se não houver software, não há vulnerabilidade. Se você não estiver mais usando o software, exclua-o do seu computador. Hackers não podem invadir algo que não está lá.
- Instale aplicativos autorizados. Quando se trata de manter a segurança em seu dispositivo móvel, use apenas aplicativos autorizados. Há ocasiões em que você pode querer sair da App Store e da Google Play Store, como quando está testando um novo aplicativo, mas você deve ter certeza de que pode confiar no fabricante do aplicativo. De modo geral, no entanto, fique com aplicativos aprovados que tenham sido examinados pela Apple e pelo Google.
- Use um software anti-exploit. Portanto, você tomou todas as precauções necessárias para evitar ataques baseados em explorações. E quanto às explorações de dia zero? Lembre-se de que uma exploração de dia zero é uma vulnerabilidade de software que somente os criminosos cibernéticos conhecem. Não há muito que possamos fazer para nos proteger das ameaças que não conhecemos. Ou será que há? Um bom programa antimalware, como Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android ou Malwarebytes para iOS, pode reconhecer e bloquear proativamente softwares mal-intencionados que se aproveitam de vulnerabilidades em seu computador usando análise heurística do ataque. Em outras palavras, se o programa de software suspeito for estruturado e se comportar como malware, Malwarebytes o sinalizará e o colocará em quarentena.